Киберстрахование без ИБ-дисциплины — деньги на ветер

Киберстрахование кажется идеальным решением: оплатил полис — и можно расслабиться и больше не переживать из-за утечек и взломом. Но на практике все сложнее. Алексей Ахмеев, начальник управления информационной безопасности АО «Свой Банк», объясняет, почему страховая защита — это не перекладывание ответственности, а лишь часть зрелого риск-менеджмента, требующего от бизнеса максимальной дисциплины.

Какие требования страховщики предъявляют компаниям, желающим застраховать свои киберриски?

Соответствовать условиям страховщика — дорого. Например, все программное обеспечение, применяемое в компании, должно быть лицензионным и официально приобретенным. А как же тогда быть с бесплатными операционными системами или с «трофейной» версией Windows?

Можно ли рассчитывать на выплату, если инцидент все же произошел?

Для признания случая страховым необходимо доказать, что застрахованным лицом или его командой были предприняты все возможные действия для защиты и минимизации киберрисков. Сюда относятся все задачи подразделений ИТ и ИБ по обеспечению защищенности компании, а это масштабные ресурсы. Другими словами: данный вид страхования — это не перекладывание ответственности за наступление риска на страховую, а дополнительная «соломка», которая в перспективе может сократить затраты на восстановление бизнеса после кибератак.

Многие компании боятся раскрывать свои уязвимости. Как вы оцениваете это препятствие?

Что касается страха раскрытия слабых мест, то это своеобразный барьер, который мешает полноценной защите бизнеса. Те же пентесты (контролируемые взломы для поиска недостатков в защите) или аудиты защищенности (анализ систем защиты на правильность настройки) очень помогают компаниям, но точно так же сопряжены с раскрытием уязвимостей. Смысл в том, что такие меры не должны пугать, а наоборот — быть стимулом к развитию и укреплению безопасности.